Durch gute Vorbereitung können IT-Sicherheitsrisiken gemindert werden – davon ist Axel Fasse überzeugt. Er arbeitet als Entwickler und zertifizierter Projektmanager bei SAP und verfügt über mehr als zwanzig Jahre Arbeitserfahrung im IT-Umfeld. Risikomanagement, Produktsicherheit und Compliance-Themen in den Bereichen IoT, Healthcare und Data-Privacy gehören seit vielen Jahren zu den Arbeitsschwerpunkten des Diplom-Mathematikers.
Herr Fasse, welche typischen IT-Sicherheitsprobleme begegnen Ihnen regelmäßig? Wie können sich Unternehmen darauf vorbereiten?
Fasse: Durch die fortschreitende Vernetzung und den damit einhergehenden Einsatz von Multi-Cloud-, IoT-, Open-Source- und Container-Lösungen bieten sich immer neue Möglichkeiten, bestehende Geschäftsprozesse zu optimieren. Parallel zum Einsatz dieser Technologien wachsen aber auch die Herausforderungen an die IT-Security. Für Unternehmen ist es daher enorm wichtig, ein Vorgehensmodell zu nutzen, das eine umfassende Security-Risikobewertung zur raschen Umsetzung notwendiger Mitigationsstrategien bietet.
Die Etablierung geeigneter Vorgehensweisen wie dem Threat Modelling ist eine Grundvoraussetzung, um mit Risiken umzugehen und deren Minderung zu planen. Darüber hinaus darf auch der Faktor „Mensch“ nicht unterschätzt werden. „Rollenspezifische“ IT-Security Schulungen für alle Mitarbeiter sind geeignete Mittel zur Erhöhung der Security-Awareness und damit zur nachhaltigen Vermeidung von Security- und Compliance-Risiken.
Welche Möglichkeiten bietet das Threat Modelling?
Fasse: Das Threat-Modelling bietet eine strukturierte Vorgehensweise zur Analyse und Bewertung von Sicherheitsrisiken im Hinblick auf deren Kritikalität. Das Ergebnis eines Threat-Modelling Workshops sollte immer auch geeignete Mitigationsstrategien für die gefundenen Risiken beinhalten.
Richtig eingesetzt bieten diese Workshops auch die Möglichkeit, Mitarbeiter gezielt für Sicherheitsprobleme zu sensibilisieren. Ganz nach dem Motto „think like a hacker“ lernen sie dabei, welche Verhaltensweisen Angreifer anwenden und wie sie sich dagegen schützen können.
Welche Threat Modelling Techniken empfehlen Sie und welche Vorteile ergeben sich daraus in der Praxis?
Fasse: Das STRIDE Modell zur Analyse von möglichen Schwachstellen ist einfach anwendbar und liefert sehr gute Ergebnisse. Darin sind die folgenden sechs Techniken enthalten: Spoofing (Verschleiern der Identität), Tampering (Manipulation), Repudiation, Information disclosure, Denial of service und Elevation of privilege. Im Hinblick auf agile Entwicklungsprozesse und kurze Veröffentlichungszyklen sollte das Modell aber an die speziellen Erfordernisse der Firmen angepasst werden. Wenn es gelingt, die Workshops vor dem Beginn der eigentlichen Software-Entwicklung durchzuführen, dann lassen sich bereits einige IT-Security-Risiken direkt während der Entwicklung vermeiden.
Mehr erfahren Sie am 18. September auf den Internet Security Digital Days 2020 in dem Vortrag „Mit Hilfe von Threat Modelling zielgerichtet priorisieren: Grundlagen und Praxis“ von Axel Fasse.
Hier können Sie sich für die Veranstaltung anmelden.